Aus Alt mach Neu: Bootkit ESPecter taucht wieder auf

Lesezeit
weniger als
1 Minute
Bis jetzt gelesen

Aus Alt mach Neu: Bootkit ESPecter taucht wieder auf

06.10.2021 - 14:56
Veröffentlicht in:
Security-Forscher von ESET haben eine neue Form von UEFI-Malware entdeckt. Diese nistet sich in der EFI-Systempartition (ESP) ein. Bei der "ESPecter" getauften Schadsoftware handelt es sich um ein UEFI-Bootkit, das die Windows-Treibersignatur umgeht und seinen eigenen unsignierten Treiber laden kann, was die Spionageaktivitäten enorm erleichtern soll.
ESPecter wurde auf einem kompromittierten Rechner zusammen mit einer Keylogging- und Dokumentendiebstahl-Funktion entdeckt. Aus diesem Grund gehen die ESET-Forscher davon aus, dass der Schädling hauptsächlich für Spionagezwecke verwendet wird. Anhand der ESET-Telemetrie konnten die Secuirty-Experten dabei die Anfänge dieses Bootkits bis mindestens 2012 zurückdatieren.

Interessant scheint dabei, dass sich die Komponenten der Malware in all den Jahren kaum verändert haben. Die Unterschiede zwischen den Versionen 2012 und 2020 seien nicht so signifikant, wie zu erwarten wäre. Nach all den Jahren eher unbedeutender Änderungen hätten die Entwickler hinter ESPecter nun aber offenbar beschlossen, ihre Malware von veralteten BIOS-Systemen auf moderne UEFI-Systeme umzustellen.

"Wir konnten die Wurzeln von ESPecter bis 2012 zurückverfolgen. Zuvor war das Spionageprogramm für Systeme mit veraltetem BIOS im Einsatz. Trotz seiner langen Existenz blieben ESPecter und seine Operationen sowie das Upgrade auf UEFI lange unbemerkt", sagt ESET Forscher Anton Cherepanov, der das UEFI-Bootkit zusammen mit Martin Smolár entdeckt hat. "ESPecter zeigt, dass sich die Entwickler hinter der Malware auf das Einnisten in der UEFI-Firmware verlassen und trotz vorhandener Sicherheitsmechanismen durchführen. Mit UEFI Secure Boot können solche Techniken leicht blockiert werden", ergänzt Martin Smolár.

dr

[1] https://www.welivesecurity.com/deutsch/2021/10/06/especter-bootkit-neue-bedrohung-in-der-efi-systempartition/

Tags

Ähnliche Beiträge

Exchange ungeschützt im Visier Lars Nitsch Di., 26.03.2024 - 13:09
Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik hervor.
Mehr Transparenz bei Benutzeraktivitäten Lars Nitsch Mo., 25.03.2024 - 09:41
BeyondTrust hat Version 24.1 von "Endpoint Privilege Management für Windows & Mac" veröffentlicht. Die Enterprise-Software zur Durchsetzung von Least-Privilege-Strategien und granularer Applikationskontrolle soll im aktuellen Release mit neuen Funktionen für höhere Benutzerfreundlichkeit und optimierte Arbeitsabläufe sorgen.
Keeper Security mit Updates für mehr administrative Kontrolle Lars Nitsch Fr., 22.03.2024 - 08:51
Keeper Security, Anbieter von Zero-Trust- und Zero-Knowledge-Software zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen hat die Benutzeroberfläche seiner Admin-Konsole optimiert und das Onboarding überarbeitet. Die Updates stellen eine direkte Reaktion auf die Rückmeldungen der Benutzer-Community dar.